一款名为Rapid的勒索软件正在迅速传播

近期有相关信息安全机构发现，一款名为Rapid的勒索软件正在快速传播，与以往多数勒索软件不同的是，它不仅会对计算机上已有的文件进行加密，还会对新创建的任何文件进行加密。

暂时还不清楚Rapid恶意软件是如何传播的，但从一月份开始，他已经感染了很多人。

根据ID-Ransomeware的统计（如上图），第一个提交的案例是在1月3日，之后提交的有超过300个，这只是受害者中的一小部分。

外媒BleepingComputer对此事件做出如下 道分析：

一款名为Rapid的勒索软件正在迅速传播

Rapid恶意软件是如何对计算机实施加密的？

当恶意软件运行时，它就会清除Windows卷影拷贝、终止数据库进程和禁用自动修复。被终止的进程为：sql.exe、sqlite.exe及oracle.com，并执行下列命令：

一旦这些命令被执行，恶意软件就会扫描计算机进行加密，当文件被加密后，其文件名就会被添加.rapid扩展名，如下图：

当恶意软件完成对计算机的加密时，将在各个文件夹中创建名为“HowRecovery Files.txt”的勒索提示文件，文件中包含一个电子邮件，让受害者联系如何完成付款。恶意软件也会创建启动，在重启后加载勒索提示文件，Rapid恶意软件不会免费对文件解密，除非完成支付。显示的提示信息内容如下：

Rapid的IOC信息

哈希值：

125c2bcb0cd05512391a695f907669b2f55a8b69c9d4df2ce1b6c9c5a1395b61

关联文件：

%AppData%info.exe%AppData%HowRecovery Files.txt%AppData% ecovery.txt

关联的注册表信息：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Encrypter”=”%AppData%info.exe”HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”userinfo”=”%AppData% ecovery.txt”

感染Rapid勒索软件后要怎么办？

受害者如果发现Rapid恶意软件对计算机进行加密后，应尽快打开Windows进程管理器，终止关联的恶意进程。如果计算机没有被重启，运行的进程名称可能为任意名称，如样本的名称为rapid.exe（如下图）。

如果受害者计算机已经被重启，这个进程名称可能被命名为info.exe。

一旦终止了进程，然后启动msconfig.exe禁止启动项，如果不能进到任务管理器，就重启进入 络联接安全模式（Safe Mode with Networking），然后再进行尝试。

优炫软件提醒，虽然国内暂无感染案例，但为避免计算机被勒索软件感染，应该养成良好的使用习惯，安装安全防护软件、做好数据备份等。

优炫操作系统安全增强系统（Rock Solid Core Data Protection System，简称RS-CDPS）通过安装在服务器的安全内核保护服务器数据，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。可对UNIX类、LINUX类、WINDOWS类各种操作系统进行统一管理，为管理人员提供方便，可以保障客户的服务器安全、持续、长效运行。

优炫RS-CDPS通过安装在服务器的安全内核保护服务器数据。它在操作系统的安全功能之上提供了一个安全保护层，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它不用更改操作系统就可以安装，操作方便，宜于系统管理和安全管理。适用于各种应用服务器、KMS服务器、数据库服务器、群件服务器、文件服务器等，以及其他需要安全保护的系统。